Novo ransomware sendo distribuído para usuários do Android por meio de fóruns on-line, mensagens SMS e  jogo de simulação sexual

Novo ransomware sendo distribuído para usuários do Android por meio de fóruns on-line, mensagens SMS e jogo de simulação sexual

31 de julho de 2019 0 Por Suporte Rede Digital

Os pesquisadores estão avisando que um novo ransomware Android está sendo distribuído através de links em fóruns online e mensagens SMS. Os links maliciosos pretendem se conectar a um jogo de simulação sexual, mas na realidade levam ao ransomware que criptografa os arquivos das vítimas.

O ransomware Android, apelidado de Android / Filecoder.C, está ativo desde pelo menos 12 de julho, quando os pesquisadores o encontraram por meio de dois links de domínio. Esses links foram distribuídos principalmente em fóruns on-line, incluindo o Reddit em postagens relacionadas a pornografia ou por meio de um fórum para desenvolvedores do Android chamado “XDA Developers” em postagens relacionadas a tópicos técnicos.

“Usando as listas de contatos das vítimas, elas se espalham ainda mais por SMS com links maliciosos. Devido à estreita segmentação e falhas na execução da campanha, o impacto deste novo ransomware é limitado ”, disse Lukas Stefanko com a ESET em uma análise na segunda – feira do ransomware . “No entanto, se os operadores começarem a segmentar grupos de usuários mais amplos, o ransomware Android / Filecoder.C poderá se tornar uma ameaça séria.”

Além dos fóruns on-line, os pesquisadores descobriram que os links maliciosos estão sendo espalhados por mensagens SMS. Uma vez que a vítima é infectada, o ransomware também envia links maliciosos dos domínios via mensagens SMS para a lista de contatos da vítima. Essas mensagens SMS adicionam algum nível de urgência e personalização para conectar os contatos para abri-los, pois eles usam o nome de contato listado na mensagem SMS e informa ao contato que suas fotos estão sendo usadas no jogo de simulação sexual.

“Essas mensagens incluem links para o ransomware; Para aumentar o interesse das possíveis vítimas, o link é apresentado como um link para um aplicativo que supostamente usa as fotos da vítima em potencial ”, disse Stefanko.

Os alvos recebem um link para o aplicativo malicioso, que deve ser instalado manualmente pelas vítimas. Depois que o aplicativo é lançado, ele exibe o que é prometido pelos posts que o distribuem – na maioria das vezes, o jogo online de simulador de sexo.

Mas nos bastidores, o ransomware é ativado, iniciando a comunicação de comando e controle, espalhando as mensagens maliciosas para os outros contatos das vítimas e implementando um mecanismo de criptografia e descriptografia.android ransomware Android / Filecoder.C

O ransomware criptografa vários tipos de arquivos – incluindo DOC, PPT, JPEG e outros. Dito isso, o malware deixa os arquivos não criptografados se a extensão do arquivo for .zip ou .rar e o tamanho do arquivo for superior a 51.200 KB / 50 MB. Além disso, arquivos JPEG, JPG e PNG com um tamanho de arquivo inferior a 150 KB também não são criptografados.

Depois de criptografar os arquivos das vítimas, o ransomware exibe uma nota de resgate no aplicativo pedindo por um pagamento no Bitcoin. A nota de resgate avisa que os dados serão perdidos após 72 horas e que os arquivos não serão descriptografados, mesmo que o aplicativo tenha sido excluído.

“É verdade que, se a vítima remover o aplicativo, o ransomware não poderá descriptografar os arquivos, como indicado na nota de resgate”, disseram os pesquisadores. “Além disso, de acordo com nossa análise, não há nada no código do ransomware para apoiar a alegação de que os dados afetados serão perdidos após 72 horas.”

Embora os pesquisadores não digam quantos foram infectados, ao inspecionar um desses links no Reddit, Stefanko disse que chegou a 59 cliques de várias fontes e países.

Os pesquisadores pediram que as vítimas do Android evitassem ataques mantendo os dispositivos atualizados e aderindo ao Google Play para baixar aplicativos. Dispositivos Android enfrentam uma série de ameaças: uma nova geração recente de malwares Android , apelidada de “Agente Smith”, infectou 25 milhões de aparelhos a fim de substituir aplicativos legítimos por doppelgangers que exibem anúncios desonestos, disseram pesquisadores. Os pesquisadores também identificaram um trojan de acesso remoto de vigilância móvel para Android chamado Monokle, usando novas técnicas para exfiltrar dados.